勒索軟件生態系統在2022年發生了重大變化,網絡攻擊者從占主導地位的大型團體轉向規模較小的勒索軟件即服務(RaaS)組織,以尋求更大的靈活性,減少執法部門的關注。勒索軟件的民主化對企業來說是一個壞消息,因為它也帶來了多樣化的戰術、技術和程序,需要跟蹤更多的妥協指標(IOC),以及受害者在試圖談判或支付贖金時可能會遇到更多的障礙。
思科公司網絡安全研究部門Talos團隊的研究人員在他們發布的一份年度報告中表示:“我們很可能將安全形勢加速變化追溯到2021年年中,當時針對Colonial Pipeline公司進行的DarkSide勒索軟件攻擊以及隨后執法部門對REvil團伙的打擊,導致幾個勒索軟件團伙衰落。而到現在,勒索軟件領域似乎一如既往地充滿活力,各種團體和組織都在適應政府執法部門的打擊和越來越多的破壞性行為、內訌和內部威脅,以及激烈的行業競爭,勒索軟件開發者和運營者不斷轉移他們的從屬關系,以運營最有利可圖的勒索軟件業務。”
大型勒索軟件團伙吸引了更多的注意力
自從2019年以來,勒索軟件領域一直由專業化的大型勒索軟件團伙主導,持續不斷的勒索軟件攻擊成為了新聞頭條,得到媒體的更多關注。人們甚至看到勒索軟件團伙的發言人接受采訪,或者在Twitter和他們的網站上發布新聞,以回應發生的重大泄露事件。
2021年,勒索軟件團伙DarkSide攻擊了Colonial Pipeline公司的燃油管道設施,導致美國東海岸的燃料供應嚴重中斷,凸顯了勒索軟件攻擊可能對關鍵基礎設施造成的風險,并導致政府部門加大了打擊這一威脅的力度。執法部門的高度關注使得網絡犯罪論壇的所有者重新考慮他們與勒索軟件團伙的關系,一些論壇禁止發布勒索軟件攻擊的廣告。隨后DarkSide很快停止攻擊,同年晚些時候REvil也更為名Sodinokibi,其創建者被起訴,其中一名創始人被捕。REvil是自從2019年以來最成功的勒索軟件團伙之一。
俄烏在2022年2月爆發沖突,很快使許多勒索軟件團伙之間的關系趨于緊張,這些團伙在俄羅斯和烏克蘭以及前蘇聯國家都有成員和分支機構。一些勒索軟件團伙(例如Conti)急于站隊,威脅攻擊支持俄羅斯的一些國家的基礎設施。這背離了勒索軟件團伙通常采取的不涉及政治的做法,這種做法招致了其他勒索軟件團伙的批評。
在此之后,勒索軟件團伙Conti內部信息泄露也暴露了許多運營機密,并引起了團伙成員的不安。在一次針對哥斯達黎加政府的重大襲擊之后,美國國務院懸賞1000萬美元,以獲取有關Conti團伙領導者身份或位置的信息,這導致該團伙在今年5月決定解散。
Conti團伙的衰落導致勒索軟件攻擊數量下降了幾個月,但這并沒有持續太久,因為這一空白很快被其他勒索軟件團伙填補,其中一些是新成立的團伙,而這些團伙讓人懷疑是Conti、REvil和其他在過去兩年停止運營勒索軟件團伙的成員所創建的。
2023年最活躍的勒索軟件團伙
(1)LockBit目前處于領先地位
LockBit是在Conti團伙解散之后加強運營的主要勒索軟件團伙,該團伙通過修改其勒索軟件應用程序并推出新版本進行攻擊。盡管該團伙自從2019年以來一直在進行攻擊,但直到推出LockBit 3.0,該團伙才設法在勒索軟件威脅領域占據領先地位。
根據多家安全機構發布的調查報告,LockBit 3.0在2022年第三季度勒索軟件攻擊事件中攻擊次數最多,并且是數據泄露網站上列出的2022年受害者人數最多的勒索軟件團伙。人們可能會在2023年看到其衍生產品,因為LockBit代碼被一位心懷不滿的開發者泄露,現在任何人都可以構建定制版本的勒索軟件程序。思科Talos團隊表示,一個名為Bl00dy Gang的勒索軟件團伙已經開始在勒索軟件攻擊中使用泄露的LockBit 3.0生成器。
(2)Hive勒索了一億多美元
根據思科Talos發布的數據,在2022年,除了LockBit團伙之外,聲稱受害者人數最多的勒索軟件團伙是Hive。這是在Talos在2022年的事件響應活動中觀察到的主要勒索軟件團伙,在Palo Alto Networks公司發布的事件響應案例列表中排名第三,僅次于Conti和LockBit。根據美國聯邦調查局、美國網絡安全和基礎設施安全局(CISA)和美國衛生與公眾服務部(HHS)的聯合咨詢,該團伙在2021年6月至2022年11月期間,從全球1300多家公司勒索了一億多美元。
美國的這些安全機構指出:“眾所周知,Hive團伙會使用勒索軟件或另一種勒索軟件變體重新感染受害者的網絡,而這些受害者在未支付贖金的情況下恢復了網絡。”
(3)BlackBasta是Conti的衍生產品
根據思科Talos的觀察,2022年第三大勒索軟件團伙是Black Basta,該團伙被懷疑是Conti的子公司,在技術上有一些相似之處。Black Basta于今年4月開始運營,不久之后Conti團伙就宣布解散,并迅速開發了自己的工具集。該團伙依靠Qbot木馬進行傳播,并利用Print Nightmare漏洞進行攻擊。
從2022年6月開始,該團伙還為Linux系統推出了一種文件加密器,主要針對VMware ESXi虛擬機進行攻擊。這種跨平臺擴展也出現在其他勒索軟件團伙中,如LockBit和Hive,它們都有Linux加密器,或者是用Rust編寫的勒索軟件,如ALPHV(BlackCat),這允許它在多個操作系統上運行。Golang是另一種跨平臺編程語言和運行時,也被一些規模較小的勒索軟件團伙采用,例如HelloKitty(FiveHands)。
(4)Royal發展勢頭強勁
今年早些時候出現的另一個被懷疑與Conti有聯系的勒索軟件團伙的名稱為Royal。雖然該團伙最初使用了來自其他團伙(包括BlackCat和Zeon)的勒索軟件程序,但該團伙開發了自己的文件加密程序,似乎是受到Conti的啟發或是采用Conti的程序,并得以迅速發展,在2022年11月攻擊的受害者數量超過了LockBit。按照這個發展速度,Royal預計將成為2023年最大的勒索軟件威脅之一。
(5)Vice Society以教育部門為目標
Royal并不是唯一一個通過重新利用他人開發的勒索軟件程序而獲得成功的勒索軟件團伙。根據思科Talos在網站上列出的受害者數量,Vice Society勒索軟件攻擊名列第四。該團伙主要針對教育部門進行攻擊,并依賴于現有勒索軟件家族的分支,例如HelloKitty和Zeppelin。
更多的勒索軟件團伙對網絡安全構成挑戰
思科Talos的研究人員表示:“勒索軟件壟斷的終結給網絡安全分析人員帶來了挑戰。”在Talos監控的數據泄露網站上,至少有8個勒索軟件團伙發布了75%的帖子。由于對手在多個勒索軟件即服務(RaaS)團體工作,了解新出現的勒索軟件團伙的歸屬變得更加困難。”
LockBit等一些勒索軟件團伙已經開始引入其他勒索手段,例如DDoS攻擊,迫使受害者支付贖金。這種趨勢很可能會在2023年持續下去,勒索軟件團伙預計會提出新的勒索策略,在部署最終勒索軟件之前,對受害者的勒索攻擊實現貨幣化。思科Talos與勒索軟件相關的事件響應服務的調查有一半處于勒索軟件攻擊之前的階段,這表明企業在檢測與勒索軟件前活動相關的戰術、技術和程序方面正在變得越來越好。
關于企業網D1net(hfnxjk.com):
國內主流的to B IT門戶,同時在運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。同時運營18個IT行業公眾號(微信搜索D1net即可關注)。
版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號